物联网信息安全 课件 第4章 传感器网络安全、物联网终端系统安全

4.3传感器网络安全主要内容4.3.1无线传感器网络简介4.3.2传感器网络安全威胁分析4.3.3无线传感器网络的安全需求分析4.3.4无线传感器网络的安全攻击与防御4.3.5传感器网络安全防护主要手段4.3.6传感器网络典型安全技术4.3.7无线传感器网络的密钥管理主要内容4.3.8无线传感器网络安全协议SPINS4.3.9轻量级公钥密码算法NTRU4.3.1简介无线传感器网络(WirelessSensorNetworks,WSN)是集成了传感器技术、微机电系统技术、无线通信技术以及分布式信息处理技术于一体的新型网络。传感器信息获取从单一化到集成化、微型化，进而实现智能化、网络化。可探测包括地震、电磁、温度、湿度、噪声、光强度、压力、土壤成分、移动物体的大小、速度和方向等周边环境中多种多样的现象。

4.3.1简介

潜在的应用领域可以归纳为:军事、航空、防爆、救灾、环境、医疗、保健、家居、工业、商业等领域。4.3.1简介1.无线传感器网络的体系结构1）传感器节点的物理结构从结构上一般包含4个部分：数据采集、数据处理、数据传输、电源传感器节点的处理器通常为嵌入式CPU数据传输单元由低功耗、短距离的无线模块组成4.3.1简介4.3.1简介传感器网络节点技术参数电池能量传输距离：通常是100米以内，一般为1~10米网络宽带内存大小预先部署的内容4.3.1简介无线传感器网络的网络结构（1）分布式无线传感器网络4.3.1简介（2）集中式无线传感器网络4.3.1简介无线传感器网络的详细结构4.3.1简介无线传感器网络的软件框架4.3.2安全威胁分析无线传感器网络安全面临的问题和挑战（1）无线传感器网络的低能量特点使节能成为安全技术设计要考虑的一个重要指标。消耗能量主要来源于三个反面：CPU对安全算法计算的能耗Sensor收发器用于收发与安全有关的数据和负载的能耗存储单元用于存储与安全机制有关的参数消耗4.3.2安全威胁分析（2）无线传感网络很容易受到攻击者的破坏。无线传感器网络路由层面临的主要攻击：①Sinkhole攻击②Wormhole攻击③HELLO洪泛攻击④Sybil女巫攻击⑤虚假路由攻击⑥确认欺骗⑦选择性转发

4.3.3安全需求分析安全需求通信与储存数据的安全性消息认证和访问节点认证通信数据和存储数据的完整性新鲜性可拓展性（Scalability）可用性（Availability）健壮性（Robustness）自组织性（Self-Organization）4.3.3安全需求分析安全方案设计时的考虑因素能量消耗有限的存储、运行空间和计算能力节点的物理安全无法保证节点布置的随机性通信的不可靠性4.3.4安全攻击与防御1.常见网络方法阻塞（Jamming）攻击耗尽（Exhaustion）攻击非公平竞争协议汇聚节点（Homing）攻击怠慢和贪婪（NeglectandGreed）攻击反向误导（Misdirection）攻击4.3.4安全攻击与防御黑洞（BlackHoles）攻击虫洞（Wormholes）攻击Hello泛洪（HelloFlood）攻击女巫（Sybil）攻击破坏同步（Desynchronization）攻击泛洪攻击（Flooding）应用层攻击4.3.4安全攻击与防御无线传感器网络中网络攻击的分类4.3.4安全攻击与防御常用防御机制4.3.5安全防护的主要手段链路层加密和验证身份验证链路双向验证多径路由Wormhole和Sinkhole的对抗策略全局消息平衡机制4.3.6典型安全技术1.拓扑控制技术2.MAC协议3.路由协议面临的问题和挑战有如下几个反面：（1）传感器网络的低能量特点使节能成为路由最重要的优化目标。（2）传感器网络的规模更大，要求其路由协议必须具有更高的可扩展性。（3）传感器网络拓扑变化性强，通常的Hitemet路由协议不能适应这种快速的拓扑变化。4.3.6典型安全技术（4）使用数据融合技术是传感器网络的一大特点，这使传感器网络的路由不同于一般网络。4.数据融合数据融合研究中存在的问题主要有：（1）未形成基本的理论框架和有效的广义模型及算法。（2）关联的二义性是数据融合中的主要障碍（3）融合系统的容错性或稳健性没有得到很好的解决。4.3.7密钥管理为提供无线传感器网络中机密性、完整性、鉴别等安全特性,实现一个安全的密钥管理协议是前提条件,也是传感器网络安全研究的主要问题。尽管密钥管理协议在传统网络中已经有了非常成熟的应用,但无线传感器网络有限的电源、有限的计算能力和存储容量、有限的通信能力、自组织的分布特性以及拓扑结构的动态变化等诸多限制,使得其密钥管理面临着一系列新的挑战。4.3.7密钥管理4.3.7密钥管理4.3.7密钥管理预先配置密钥：

网络预分配密钥方法节点间预分配密钥方法密钥管理方案的评价指标：评价一种密钥管理技术的好坏，不能仅从能否保障传输数据安全进行评价，还必须满足如下准则。抗攻击性（Resistance）密钥可回收性(Revocation)容侵性(Resilience)4.3.7密钥管理确定密钥分配方案Blundo节点间共享密钥节点与基站共享主密钥Blundo二次元式方案随机密钥分配方案EGEG方案的实施分为以下几个阶段：密钥预分配共享密钥的发现路径密钥的建立密钥撤销机制4.3.8安全协议SPINS轻量级安全协议SNEP传感网络加密协议（SensorNetworkEncryptionProtocol，SNEP）SNEP中的数据机密性SNEP中的数据完整性SNEP中消息的新鲜性节点间的安全通信4.3.9轻量级公钥密码算法NTRU在资源受限系统中使用的轻量级公钥加密算法NTRU（NumberTheoryResearchUnit），它被认为是实现空间最小的公钥加密算法（约8Kb），可用于传感器节点等嵌入式系统中，甚至是RFID标签上。NTRU算法同时也是IEEE1363.1公钥加密算法标准的一部分。4.3.9轻量级公钥密码算法NTRUNTRU公开密钥算法是一种快速公开密钥体制，于1996年在密码学顶级会议Crypto会议上由美国布朗大学的Hoffstein、Pipher、Silverman三位数学家提出。经过几年的迅速发展与完善，该算法的密码学领域中受到了高度的重视并在实际应用（如无线传感器网络中的加密）中取得了很好的效果。4.3.9轻量级公钥密码算法NTRU安全性NTRU算法的安全性是基于数论中在一个具有非常大的维数的格（Lattice）中寻找最短向量（ShortestVectorProblme,SVP）的是困难的。所谓格是指在整数集上的一个基向量组的所有线性组合的集合。4.3.9轻量级公钥密码算法NTRU目前解决这个问题的最有效方法是1982年提出的LLL（Lenstra-Lenstra-Lovasz）算法，但该算法也只能解决维度在300以内的。只要恰当地选择NTRU的参数，其安全性与RSA，ECC等加密算法是一样安全的。4.3.9轻量级公钥密码算法NTRU4.4物联网终端系统安全4.4.1嵌入式系统安全4.4.2智能手机系统安全

嵌入式系统一套完整的嵌入式系统由相关的硬件及其配套的软件构成;硬件部分又可以划分为电路系统和芯片两个层次。在应用环境中，恶意攻击者可能从一个或多个设计层次对嵌入式系统展开攻击，从而达到窃取密码、篡改信息、破坏系统等非法目的。若嵌入式系统应用在诸如金融支付、付费娱乐、军事通讯等高安全敏感领域，这些攻击可能会为嵌入式系统的安全带来巨大威胁，给用户造成重大的损失。根据攻击层次的不同，这些针对嵌入式系统的恶意攻击可以划分为软件攻击、电路系统级的硬件攻击以及基于芯片的物理攻击三种类型。如图所示4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

1.嵌入式系统系统安全需求分析（1）、软件层次的安全性分析在软件层次，嵌入式系统运行着各种应用程序和驱动程序。在这个层次上，嵌入式系统所面临的恶意攻击主要有木马、蠕虫和病毒等。从表现特征上看，这些不同的恶意软件攻击都具有各自不同的攻击方式。病毒是通过自我传播以破坏系统的正常工作为目的;蠕虫是以网络传播、消耗系统资源为特征;木马则需要通过窃取系统权限从而控制处理器。从传播方式上看，这些恶意软件都是利用通讯网络予以扩散。在嵌入式系统中最为普遍的恶意软件就是针对智能手机所开发的病毒、木马。这些恶意软件体积小巧，可以通过SMS(ShortMessagingservice)短信、软件下载等隐秘方式侵入智能手机系统，然后等待合适的时机发动攻击。尽管在嵌入式系统中恶意软件的代码规模都很小，但是其破坏力却是巨大的。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

1.嵌入式系统系统安全需求分析（2）、系统层次的安全性分析在嵌入式设备的系统层次中，设计者需要将各种电容、电阻以及芯片等不同的器件焊接在印刷电路板上组成嵌入式系统的基本硬件，而后将相应的程序代码写入电路板上的非易失性存储器中，使嵌入式系统具备运行能力，从而构成整个系统。为了能够破解嵌入式系统，攻击者在电路系统层次上设计了多种攻击方式。这些攻击都是通过在嵌入式系统的电路板上施加少量的硬件改动，并配合适当的底层汇编代码，来达到欺骗处理器、窃取机密信息的目的。在这类攻击中，具有代表性的攻击方式主要有:总线监听、总线篡改以及存储器非法复制等攻击方式。

4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

1.嵌入式系统系统安全需求分析（3）、芯片层次的安全性分析嵌入式系统的芯片是硬件实现中最低的层次，然而在这个层次上依然存在着面向芯片的硬件攻击。这些攻击主要期望能从芯片器件的角度寻找嵌入式系统安全漏洞，实现破解。根据实现方式的不同，芯片级的攻击方式可以分为侵入式和非侵入式两种方法。其中，侵入式攻击方式需要将芯片的封装予以去除，然后利用探针等工具直接对芯片的电路进行攻击。侵入式的攻击方式中，以硬件木马攻击最具代表性。而非侵入式的攻击方式主要是指在保留芯片封装的前提下，利用芯片在运行过程中泄露出来的物理信息进行攻击的方式，这种攻击方式也被称为边频攻击。硬件木马攻击是一种新型的芯片级硬件攻击。这种攻击方式通过逆向工程分析芯片的裸片电路结构，然后在集成电路的制造过程中，向芯片硬件电路中注入的带有特定恶意目的的硬件电路，即“硬件木马”，从而达到在芯片运行的过程中对系统的运行予以控制的目的。硬件木马攻击包括木马注入、监听触发以及木马发作三个步骤。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.嵌入式系统系统的安全架构物联网的感知识别型终端系统通常使前嵌入式系统。所谓嵌入式系统，是以应用为中心，以计算机技术为基础，并且软/硬件是可定制的，适用于对功能、可靠性、成本、体积、功耗等有严格要求的专用计算机系统。嵌入式系统的发展经历了无操作系统、简单操作系统、实时操作系统和面向Internet四个阶段。嵌入式系统的典型结构如图：4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.嵌入式系统系统的安全架构下面结合嵌入式系统的结构，从硬件平台、操作系统和应用软件三个方面对嵌入式系统的安全性加以分析。1）、硬件平台的安全性

为适应不同应用功能的需要，嵌入式系统采取多种多样的体系结构，攻击者可能采取的手段也呈现多样化的特点。区别于PC系统，嵌入式信息可能遭遇的攻击在于体系结构的各个部分。

（1）、对可能发射各类电磁信号的嵌入式系统，利用其传导或辐射的电磁波，攻击者可能使用灵敏的测试设备进行探测、窃听甚至拆卸，以便提取数据，导致电磁泄漏攻击或者信道攻击。而对于嵌入式系统存储元件或移动存储卡，存储部件内的数据野容易被窃取。

（2）、针对各类嵌入式信息传感器、探测器等低功耗敏感设备，攻击者可能引入极端温度、电压偏移和时钟变化。从而强迫系统在设计参数范围之外的工作，表现出异常性能。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.嵌入式系统系统的安全架构2）、操作系统的安全性

与PC不同的是，嵌入式产品采取数十种体系结构和操作系统，著名的嵌入式操作系统包括WindowsCE、PalmOS、Linux、VxWorks、pSOS、QNX、OS-9、LynxOS等。嵌入式操作系统普遍存在的安全隐患如下：（1）、由于系统代码的精简，对系统的进程控制能力没有达到一定的安全级别。（2）、由于嵌入处理器的计算能力受限。缺少系统的身份认证机制，攻击者可能很容易破解嵌入式系统的登陆口令。（3）、大多数嵌入式操作系統文件和用户文件缺乏必要的完整性保护控制。（4）、嵌入式操作系统缺乏数据的备份和可信恢复机制，系统一旦发生故障便无法恢复。（5）、大多数嵌入式信息终端病毒正在不断出现，并大多通过无线网络注入终端。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.嵌入式系统系统的安全架构3）、应用软件的安全性应用软件的安全问题包括三个层面：应用软件应用层面的安全问题，如病毒、恶意代码攻击；应用软件中间件的安全问题：应用软件系统层面（如网络协议栈）的安全问题，如数据窃听、源地址欺骗、源路由选择欺骗、鉴别攻击。TCP序列号欺骗、拒绝服务攻击等。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.嵌入式系统系统的安全架构4）、嵌入式系统安全的对策

通常嵌入式系统安全的对策可根据安全对策所在的位置分为四层，如图：（1）安全电路层。通过对传统的电路加入安全措施或加以改进，实现对设计敏感信息的电子器件的保护。（2）硬件安全架构层。该方法借鉴了可信平台模块（TrustedPlatformModule,TPM）的思路。（3）软件安全架构层。该层主要通过增强操作系统或虚拟机（如Java虚拟机）的安全性来增强系统安全。（4）安全应用层。通过利用下层提供的安全机制，实现涉及敏感信息的安全应用程序，保障用户数据安全。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.TinyOS与TinyECC简介TinyOS是美国加州大学伯克利分校开发的用于传感器节点的开源操作系统。其设计的主要目标是代码量小、耗能少、并发性发高、鲁棒性好，可以适应不同的应用。是一种基于组件(Component-Based)的操作系统。系统由一个调度器和一些组件组成。组件从上到下可分为硬件抽象组件、综合硬件组件和高层软件组件。TingOS是用nesC语言编写的，基于TinyOS的应用程序也使用nesC语言编写。nesC是专门为资源极其受限、硬件平台多样化的传感器节点设计的开发语言。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.TinyOS与TinyECC简介TinyOS提供的一系列关键服务，包括：（1）核心服务，如读取传感器、串口通信、读取程序内存和外存、基本的点对点传输服务等。（2）数据收集协议，如CTP。CTP集成了链路重传、链路估计等技术，可以将多个节点上的数据通过该多跳路由传到汇聚节点。（3）数据分发协议，如Drip和Dip。两者可以通过汇聚节点分发多种系统参数，并在网络内维持一致性。（4）时间同步协议，如FTSP。FTSP协议通过在网络内交换同步消息，达到全网同步。（5）网络重编程协议，如Deluge。Deluge协议可以通过汇聚节点分发程序代码，并通过节点自编程，达到应用程序更新以及程序重编程的目的。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.TinyOS与TinyECC简介

在TinyOS上可以运行TinyECC，TinyECC是北卡州立大学PingNing教授的团队开发的基于ECC的软件包，提供了签名方案（ECDSA）、密钥交换协议（ECDH）以及加密方案（ECIES）。TinyECC2.0是用于TinyOS2.x平台的一个版本，使用nesC实现。可以根据特定的传感器平台进行优化。4.4.1嵌入式系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

1.智能手机的特点（1）、智能手机具备无线接入互联网的能力，即需要支持GSM网络下的GPRS或者CDMA网络下的CDMA1X或者3G网络，甚至4G网络（2）、具备PDA的功能，包括PIM(个人信息管理)，日程记事，任务安排，多媒体应用，浏览网页。（3）、智能手机具有开放性的操作系统，在这个操作系统平台上，可以安装更多的应用程序，从而使智能手机的功能可以得到无限的扩充。（4）、具有人性化的一面，可以根据个人需要扩展机器的功能。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

2.智能手机的安全性威胁智能手机操作系统的安全问题主要集中于在接入语音及数据网络后所面临的安全威胁。例如系统是否存在能够引起安全问题的漏洞，信息存储和传送是否有保障，是否会受到病毒等恶意软件的威胁等。由于目前手机用户比计算机用户还多，而且智能手机可以提供多种数据连接方式，所以病毒对于手机系统特别是智能手机操作系统是一个非常严峻的安全威胁。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.智能手机病毒简介手机病毒会利用手机操作系统的漏洞进行传播。手机病毒是以手机为感染对象，以通过网络（如移动网络、蓝牙、红外线）未传播媒介，通过发短信、彩信、电子邮件、聊天工具、浏览网站、下载铃声等方式进行传播。手机病毒的危害：（1）、导致用户手机里的个人隐私泄露。（2）、控制手机进行强制消费，拨打付费电话等。（3）、通过手机短信的方式传播非法信息，如发送垃圾邮件。（4）、破坏手机软件或者硬件系统，4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.智能手机病毒简介手机病毒的一般特性：（1）传播性。手机病毒具有把自身复制到其他设备或程序的能力，手机病毒可以自我传播，也可以将感染的文件作为传染源，并借助该文件的交换、复制在传播，感染更多的手机。（2）隐蔽性。手机病毒隐藏在正长程序中，当用户使用该程序时，病毒乘机窃取系统控制权，然后执行病毒程序，而这些动作是在用户没有察觉的情况下完成的。（3）潜伏性。病毒感染系统后不会立即发作，可能在满足触发条件时才发作。（4）破坏性。无论何种手机病毒，一旦侵入手机都会对手机软/硬件造成不同程度的影响，轻则降低系统性能，破坏、丢失数据和文件，导致系统崩溃，重则可能损坏硬件4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

3.智能手机病毒简介手机病毒分类依据：工作原理、传播方式、危害对象和软件漏洞出现的位置。（1）根据手机病毒的工作原理划分，手机病毒分为以下五类：引导型病毒、宏病毒、文件型病毒、蠕虫病毒、木马病毒、（2）、根据手机病毒传播方式划分，手机病毒可以分为四类：通过手机外部通信接口进行传播，如蓝牙、红外。WIFI和USB等；通过互联网接入进行传播，如网站浏览、电子邮件、网络游戏等；通过电信增值服务传播，如SMS、MMS；通过手机自带应用程序传播，如Word文档、电子书等。（3）、根据手机病毒危害的对象，可分为两类：危害手机终端的病毒、危害移动通信核心网络的病毒。（4）、根据手机病毒危害出现的位置，可以分为四类：手机操作系统漏洞病毒、手机应用软件漏洞病毒、交换机漏洞病毒、服务器漏洞病毒。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

4.安全手机操作系统的特征安全的手机操作系统通常具有如下五种特征（1）身份验证：确保访问手机的用户身份真实可信。（2）最小特权：每个用户在通过身份验证后，只拥有恰好能完成其工作的权限，即将其拥有的权限最小化。（3）安全审计：对指定操作的错误尝试次数及相关安全事件进行记录、分析。（4）安全域隔离：安全域隔离分为物理隔离和逻辑隔离。（5）可信连接：对于无线连接（蓝牙、红外、WLAN等），默认属性应设为“隐藏”或者“关闭”以防非法连接。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

5.Android系统简介Android是Google与OHA（OpenHandsetAlliance,开放手机联盟）合作开发的基于linux2.6平台的开源智能手机操作系统平台。它包括四层结构：（1）应用层

Android操作系统的用户应用层，直接面向用户，完成显示以及用户交互功能，包括一系列的主要的应用程序包。如e-mail客户端（2）应用程序框架层该层是Android应用开发的基础，开发人员大部分情况是在和她打交道。应用程序框架层包括活动管理器、窗口管理器、内容提供者、视图系统、包管理器、电话管理器、资源管理器、位置管理器、通知管理器和XMPP服务十个部分。在Android平台上，开发人员可以完全访问核心应用程序所使用的API框架。并且，任何一个应用程序都可以发布自身的功能模块，而其他应用程序则可以使用这些已发布的功能模块。基于这样的重用机制，用户就可以方便地替换平台本身的各种应用程序组件。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

5.Android系统简介（3）支持库层，包含虚拟机。这一层主要与进程运行相关，每一个Android应用程序都拥有一个独立的Dalvik虚拟机为它提供运行环境。（4）、linux内核层。

Android的核心系统服务依赖于Linux2.6内核。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

6、OMS平台介绍OpenMobileSystem是中国移动通讯集团和Google合作联合开发的一款基于Linux内核Android平台构建的开放式手机操作系统简称OMS，它在原有Android平台基础上针对中国市场做了特殊优化，比如在硬件方面会去除Wi-Fi模块，不兼容WCDMA网络制式，加入了中移动运营的3G网络TD-SCDMA的支持。在界面和开机画面上和Android有着细微的区别，在针对中国用户的中文录入、简体中文显示都进行了特殊的优化，未来还会加入中国移动自己的产品等功能，OpenMobileSystem是2008年4月份开始的一个系统定制计划，经过1年的修改调试后预计将在2009年4月份开始正式推向市场，同时首款使用oms系统的是联想oPhone手机。4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

6、OMS平台介绍OMS技术特点：4.4.2智能手机系统安全第4章

物联网感知层安全

第4节物联网终端系统安全

6、OMS平台介绍OMS的功能：（1）移动业务层面：OMS在终端手机上完整深度订制了“飞信、快讯、无线音乐随身听、139邮箱、移动梦网、号簿管家、百宝箱等”中国移动数据业务。实际上OMS的用户界面设计之初就是把这些业务当作基本功能的一部分，所以使中国移动的数据业务第一次和手机的自身用户体验达到深度结合，例如电话本中可以探测出好友飞信的在线状态，音乐播放器本地和网络的用户体验完全一致，短信中如果收到邮件地址可以用139邮箱直接回复，移动梦网的浏览器和普通网页的浏览器完全相同等。（2）手机基本功能：OMS在手机基本通讯功能上也继承了很多品牌